altonivel
Regresar a la edición
Pantalla completa Compartir Accesibilidad Tamaño de texto
A- A+
Animaciones
Iniciar sesión
Reportaje

¿Cómo detectar que la información en mi empresa ha sido vulnerada?

En el campo de la seguridad, la integridad física es lo más importante para un individuo, pero para una empresa quizá su activo más valioso sea su información.

Por: Jesús Navarro Swipe

Continua en la historia

Swipe Desliza a la izquierda para continuar

| Más nos vale tomar precauciones

Los datos que corren cada segundo y cada día por su infraestructura tecnológica y sus dispositivos mantienen la vida y desarrollo del negocio, pero desafortunadamente esa información puede ser robada, lo cual puede causar daños a la compañía, desde pérdidas económicas y caída de la reputación hasta desconfianza de los usuarios y desaparición de la organización.

Por eso es vital que las firmas estén preparadas ante las nuevas generaciones de cibercriminales. Pero, si el ataque ya está perpetrado, ¿cómo saber si los datos en mi compañía han sido vulnerados? Esto epende del tipo de organización, el tipo de información y hasta el contexto, sin embargo, es importante saber que el ataque cibernético más común actualmente es el robo de identidad.

De acuerdo con un informe de WMC Global, en 2020 hubo 193,000 millones de ataques de credential stuffing en todo el mundo, que es la utilización de credenciales robadas para obtener acceso no autorizado a un sistema. Lo anterior representa un crecimiento de 45% en comparación con 2019.

El robo de identidad y otros tipos de ciberataques detonan acciones concretas que permiten saber si la información ha sido robada y la empresa está siendo atacada, por lo que es necesario que la empresa actúe de manera inmediata. Aquí 5 indicios:

| Reclamos

Los reclamos de clientes y proveedores son comunes, pero muchos son extraños. De pronto pueden llegar, vía correo electrónico o por mensajes instantáneos, constantes reclamos de usuarios a quienes no les ha llegado su pedido, paquetes o depósitos. En ocasiones un cibercriminal puede hacerse pasar por alguien de la compañía o montar un sitio web falso, en donde caen sus presas. Al no recibir su producto, los afectados envían correos o hacen llamadas para reclamar, es entonces que la empresa real se da cuenta de que hubo una suplantación de identidad o se usó un canal falso para desviar dinero.

| Ransomware

Desde el momento en que más de un empleado o directivo no pueden utilizar sus dispositivos ni acceder a su información, algo anda mal y debe actuarse al instante. Lo más probable es que esos activos hayan sido secuestrados a distancia. En un hecho así, la empresa recibe un mensaje de que sus computadoras, servidores y datos son inutilizables y piden un rescate para liberarlos. A este tipo de ataque se le llama ransomware. Si los archivos son compartidos, los clientes pueden llamar a la compañía para avisar que les apareció un mensaje que les reporta que la información no está disponible y que si desean acceder a ella debe pagar dinero. Según Check Point, en el mundo cada 10 segundos se produce un ataque de ransomware a una empresa.

| Durmiendo con el enemigo

Muchos ciberataques vienen de adentro de la organización o son por algún descuido de los empleados. Un monitoreo constante por parte del CISO y de su área de TI puede hacernos ver si un colaborador entra a sitios web no válidos, inapropiados o lugares prohibidos, como la deep web. Por otro lado, a raíz de la pandemia y del teletrabajo, hay miles de dispositivos conectados a la empresa que, si no están debidamente protegidos son una posible brecha de seguridad para que los ciberdelincuentes se aprovechen de ellas.

| Implante malicioso

Hay un grupo de ciberatacantes especializados en implantar códigos maliciosos para robar información. Ellos explotan una vulnerabilidad en el correo de Exchange para las versiones de 2010 y más. Lo que hacen es dejar ahí un código por una brecha que aprovecharon, de tal manera que, aunque se coloque un parche de seguridad, esa vulnerabilidad está ahí. Esto significa que alguien ajeno entró al sistema y el dispositivo implantado debe ser eliminado inmediatamente, aun cuando se haya colocado un parche. El análisis constante a computadoras y servidores ayuda a ubicar posibles vulneraciones en nuestros sistemas.

| Indicadores de comportamiento

Si un colaborador hace algo que antes no hacía, no debe pasarse por alto. Es recomendable que las organizaciones utilicen indicadores de comportamiento en directivos y empleados, pues pueden detectar posibles vulnerabilidades. Supongamos que un usuario se conecta todos los días de lunes a viernes de 9 am a 6 pm y realiza determinadas tareas; pero si un día se conecta un sábado y comienza a enviar datos con las credenciales de la empresa, algo anda mal. El indicador sabe que el empleado siempre se conecta desde una IP en la Ciudad de México, pero de pronto puede avisarnos que ahora se conectó desde una IP que está en otro estado o incluso en otro país. Hay herramientas llamadas Análisis del comportamiento del usuario, que justamente lo que hacen es proporcionar información inmediata sobre el comportamiento del colaborador, con la ayuda de la inteligencia artificial.

| Capacitación, la clave

Monitorear constantemente todos nuestros activos nos permite ver vulnerabilidades, pero también es muy importante la capacitación de todo el personal en todas las áreas de un negocio para crear conciencia de que los ataques cibernéticos existen y pueden ser fatales; hay que construir una cultura de ciberseguridad en la mente de los colaboradores para así evitar riesgos digitales; incluso esto provocará que tanto directivos como empleados creen esa cultura de protección en sus familias. AN

 

Jesús Navarro

Director general de Data Warden

También en esta edición

Compartir